网络安全基础设施讲义.pptVIP

第8章 网络安全基础设施 主要内容 PKI的组件 PKI信任框架 认证标准与认证过程 PMI介绍 主要内容 PKI的组件 PKI信任框架 认证标准与认证过程 PMI介绍 PKI的组件 数字证书 证书签发机构(CA) 注册权威机构（RA） 证书管理协议 证书的注销 目录服务与证书存储库 时间戳颁发机构 数字证书 目前使用的是X·509 v3标准的证书样式。证书标准的确定经历了一个较长的过程。早在1988年，ISO/IEC/ITU 9594-8发布了X·509 v1证书标准，到1993年又修订为X·509 v2，同年，Internet增强型私用电子邮件小组（PEM）发布了基于X·509 v1证书的PKI规范，针对该标准中的不足，ISO/IEC/ITU和ANSI X9小组在1996年6月正式发布了X·509 v3的标准证书格式，PKIX小组以此为标准创建了Internet上的配置文件。 数字证书 证书签发机构(CA) 证书签发机构（CA）是公钥基础设施中受信任的第三方实体，CA负责向主体发行证书，并通过主体亲自签署的证书表明主体的身份和主体使用的公开密钥的真实性，这在使用公钥基础设施的网络环境中是至关重要的措施。CA是实现PKI的核心组件，负责证书的发行、注销、更新和续用等管理任务，证书与CRL的发布、以及围绕证书的签发与维护管理过程中的事件的日志工作。 注册权威机构（RA） 在某些实现中，CA将某些责任委派给注册权威机构RA（Registry Authority）担负。根据RFC 2510的Internet公钥基础设施证书管理协议(CMP——Certificate Management Protocols)规定的RA功能包括个人认证、令牌分发、注销报告、名称指定、密钥生成、存储密钥对等内容，在多数情况下，RA负责在证书登记过程中核实证书申请者的身份。 证书管理协议 证书管理协议包括公钥加密系统标准PKCS、证书管理协议CMP和证书管理消息CMC等协议，这几个证书管理协议定义了证书登记的某些细节（如加密算法），在某些情况下，这些协议也有助于定义证书注销过程，有一些供应商甚至提供了诸如密钥恢复和证书自动续用等附加能力，更加扩展了这些协议的作用。 公钥加密系统标准PKCS 证书管理协议CMP 证书管理消息CMC 公钥加密系统标准PKCS 公钥加密系统标准PKCS（Public Key Cryptographic Standards）是由RSA Security开发的一组标准协议，用以定义安全信息交换的方法。这一族协议的编号为从PKCS #1到PKCS #15，其中除PKCS #13和PKCS #14是已提交待批的标准外，其他几个标准都已经正式发布，而PKCS #2和PKCS #4两个协议都包含在PKCS #1中。 证书管理协议CMP 证书管理协议CMP(Certificate Management Protocol)是由PKIX工作组根据RFC2510（Internet 公钥基础设施证书管理协议）和RFC2511（Internet公钥基础设施证书请求管理框架）两个标准而制定的。在处理证书的请求和响应消息方面可替代PKCS中相应协议。CMP协议的功能比较强，可以支持许多不同的证书管理功能，如交叉证明的请求与响应消息，注销证书的请求和响应消息，恢复密钥的请求与响应消息，以及证书和CRL的分发消息等。虽然CMP的功能丰富，而且也得到了很多CA产品的支持，但在同CA交互的应用程序和设备中，CMP协议并未得到广泛的支持。 证书管理消息CMC CMP的大而全与复杂性在一定程度上影响了CMP的推广应用。为了替代CMP，PKIX工作组又发布了基于加密系统消息语法的证书管理消息协议CMC(Certificate Management Messages over CMS)，该协议的总体目标是在保持简洁性的同时，提供高级证书管理功能，并且能够支持广泛使用的PKCS协议族。在CMC中，使用PKCS #10处理证书请求消息，使用PKCS #7处理证书的响应消息。CMC还引用RFC2511来支持由CMP定义的更高级的证书请求格式。 证书的注销 负责证书注销功能的系统是PKI的一个重要组件。在有的情况下，一个证书的继续存在会对主体或单位的信息安全造成威胁. 注销证书的管理 实时证书注销检测 注销证书的管理 一个证书一旦被注销，就要为其建立一张证书注销表CRL（Certificate Revocation List）。证书注销系统要负责为被注销的证书创建和维护一张及时更新的CRL，并把它放入CRL列表内，当一个用户需要使用某证书时，首先应该检查该证书是否在CRL列表中，CRL一般用目录系统的形式存